如何使用ECR 和 ECS 将您的副项目带到 AWS上?Amazon Web Services (AWS) 提供全球覆盖广泛、服务深入的云平台,亚马逊云科技连续 11 年被 Gartner
评为“全球云计算领导者”。其完整的云原生“家族产品”,比如 Amazon EKS/ECR/S3(Amazon Simple Storage
Service)/EC2...可以很好地支撑企业各类上云业务场景。
Amazon Elastic Container Registry (ECR) 是一种完全托管的 Docker
容器注册表,开发人员可使用它轻松存储、管理和部署 Docker 容器镜像。您可以将 Amazon ECR 和 Amazon Elastic Container
Service (ECS) 结合使用,以便在开发、测试和生产环境下实现安全轻松的协作和部署。
Amazon ECR 与 Amazon ECS 集成,让您能够轻松地存储、运行和管理在 Amazon ECS
上运行的应用程序的容器镜像。您需要做的只是在您的任务定义中指定 Amazon ECR 存储库,然后 Amazon ECS
将为您的应用程序检索相应的镜像。
一、从 亚马逊云AWS EC2 中提取注册表数据
亚马逊云AWS Elastic Container Registry(ECR)是一种托管 Docker 镜像的完全托管 Docker 容器
registries。通过使用 亚马逊云AWS ECR,您可以将容器镜像存储在一个安全、可访问的存储库中。使用 亚马逊云AWS ECR,您可以从 亚马逊云AWS
EC2 实例中提取 Docker 镜像,并使用相同的 IAM 身份验证和权限来管理和控制对 Docker 镜像的访问。
Amazon ECR 支持 Docker 存储库 HTTP API V2,让您能够使用 Docker CLI 命令(如
push、pull、list、tag)或您偏爱的 Docker 工具与 Amazon ECR 进行交互,从而维护现有开发工作流程。您可以从任何 Docker
环境(不论云中、内网还是本地计算机)轻松访问 Amazon ECR。
二、如何将亚马逊云AWS EC2 实例与 亚马逊云AWS ECR 集成
任务定义
Amazon ECS 可使您通过声明式 JSON 模板定义任务,这一过程叫做“任务定义”。在任务定义中,您可以指定您的任务需要的一个或多个容器,包括
Docker 存储库和镜像、内存和 CPU
要求、共享数据卷以及容器互相链接的方式。您可以从您在该服务中注册的单个任务定义文件中启动任意数量的任务。任务定义文件还可以让您对应用程序规格进行版本控制。
要从亚马逊云AWS ECR 中提取容器映像,请首先在 亚马逊云AWS ECR 中创建存储库,然后使用 access key 和 secret key
或 EC2 实例角色进行身份验证。一旦完成身份验证,您就可以将 Docker 客户端配置为使用 亚马逊云AWS ECR 存储库。由于 亚马逊云AWS ECR
集成了 亚马逊云AWS EC2 Container Service(ECS),您也可以在 ECS 容器实例上使用 亚马逊云AWS ECR。
三、保障安全性
高可用性和持久性:Amazon ECR 将您的容器镜像存储在 Amazon S3
中。您的数据将通过冗余方式存储在多个设施以及一个设施内的多个设备上。
一旦在 亚马逊云AWS ECR 中注册并存储了镜像,就可以为存储库创建访问策略来保护镜像的安全性。您可以使用 IAM
控制对存储库中的图像的访问和权限。
访问控制:Amazon ECR 使用 Amazon Identity and Access Management 来控制和监控哪些人以及哪些对象(例如
EC2 实例)可以访问您的容器镜像。通过 IAM,您可以定义策略,以允许同一
亚马逊云科技账户或其他账户中的用户访问您的容器镜像。您还可以为不同用户和角色指定不同的权限(例如推送、提取或完全管理权限),从而进一步改进这些策略。
凭借 Amazon
ECR,您可以使用命名空间在注册表中定义并整理存储库。这将允许您根据团队的现有工作流程整理存储库。您可以通过资源级策略设置允许其他用户在您存储库上执行的 API
操作(如 create、list、describe、delete 和 get),让您轻松地与其他用户和 亚马逊云科技账户共享存储库。
总之,在使用 亚马逊云AWS EC2 中提取容器镜像时,请特别注意验证和授权。如果您正确地配置 Docker 客户端,并建立了与亚马逊云AWS ECR
的连接,那么从 亚马逊云AWS Elastic Container 注册表中提取镜像就应该变得非常容易。
